同一電腦里VM里的linux服務器使用SSH都能登錄？先在Linux下的wget下試一下本機的tomcat地址，然后根據結論求解。例如，如果可能的話，您應該嘗試slinux系統中如何拒絕特定IP訪問？

同一電腦里VM里的linux服務器使用SSH都能登錄？

先在Linux下的wget下試一下本機的tomcat地址，然后根據結論求解。例如，如果可能的話，您應該嘗試s

linux系統中如何拒絕特定IP訪問？有哪些方法可以實現？

大概有三種，這里主要介紹后兩種。Selinux主要控制內核的訪問權限。

TCP_Wrappers應用級防火墻

Netfilter網絡層防火墻

使用selinux內核的強制安全訪問控制

您可以使用getenforce來獲取Selinux的當前狀態。

Vi /etc/sysconfig/SELINUX設置SELINUX。

TCP_Wrappers應用級防火墻簡單易用

用于訪問控制。

首先要知道，并不是所有的服務都由tcp_wrappers管理，只有那些使用libwrap庫的服務才被管理。

檢查服務是否支持tcp_wrappers:

ldd $(哪個域名)| grep libwrap

比如:ssh服務，如果輸入了下一行，說明支持，可以使用。

文件訪問控制，否則不。

xinetd管理的服務和一些獨立的服務(可以使用tcp_wrappers來管理httpd smb squid，而不使用tcp_wrappers來管理tcp_wrappers的工作進程首先檢查文件，如果該文件中包含請求訪問的主機名或IP，則允許訪問。如果請求的主機名或IP不在中，tcpd進程將進行檢查。查看請求的主機名或IP是否包含在文件中。如果是，則拒絕訪問；如果它既不包含在中，也不包含在中

，則也允許這種訪問。

示例:只允許192.1680.1訪問sshd，其他所有地址都被拒絕。

sshd: 192 . 168 . 0 . 1 : allow

sshd:ALL

Netfilter網絡層防火墻

這其實就是我們常用的iptables。centos7開始使用firewalld服務，原理是一樣的。

Iptables沒有。;t真正保護系統，Netfilter真正保護系統，linux系統的安全框架位于內核。

Iptables四個表五個鏈四個表:

過濾表-過濾數據包的Nat表-網絡地址轉換(IP，port)的Mangle表-修改數據包的業務類型和TTL，配置路由實現QOSRaw表-確定數據包是否被狀態跟蹤。五個加工鏈:

輸入鏈-傳入數據包應用此規則鏈中的策略輸出鏈-傳出數據包應用此規則鏈中的策略轉發鏈-轉發數據包應用此規則鏈中的策略預路由鏈-在路由數據包之前應用此鏈中的規則(所有傳入數據包首先由該鏈處理)后路由鏈-在路由數據包之后應用此鏈中的規則(所有傳出數據包首先由該鏈處理)

Iptables訪問控制示例:禁止192.168.1.1訪問我的ssh服務，默認端口為22。

iptable -I輸入-p TCP-s 192 . 168 . 1 . 1-d端口22 -j接受